Mark JansenMIVD-chef Eichelsheim waarschuwt: Nederlandse bedrijven onderschatten hun cyberrisico's ernstig
Luitenant-generaal Onno Eichelsheim, directeur van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), heeft opnieuw een dringend signaal afgegeven: de hybride dreiging van statelijke actoren — waaronder Rusland en China — richt zich steeds vaker op Nederlandse civiele bedrijven, niet alleen op overheidsinstanties. Hoe kwetsbaar is uw bedrijf echt?
Wat zegt Eichelsheim precies?
In zijn meest recente openbare verklaringen uit maart 2026 benadrukte de MIVD-chef dat de grens tussen militaire en civiele cyberdreigingen vervaagt. Statelijke hackersgroepen — met name uit Rusland (APT28, Sandworm) en China (APT41) — richten zich op kritieke infrastructuur, maar ook op mkb-bedrijven die toeleverancier zijn van grotere organisaties in de defensie-, energie- en gezondheidssector.
"De dreiging is permanent", aldus Eichelsheim. "Bedrijven denken dat ze te klein zijn om een doelwit te vormen. Dat is een gevaarlijke misvatting."
Het MIVD-jaarverslag 2025 liet zien dat Nederland het op drie na vaakst getroffen land in Europa was bij staatsgesponsorde cyberaanvallen. Meer dan 60% van de getroffen organisaties had minder dan 250 medewerkers.
Waarom mkb-bedrijven een aantrekkelijk doelwit zijn
Grote organisaties hebben uitgebreide beveiligingsteams, incident response-plannen en meerlaagse bescherming. Kleine en middelgrote bedrijven zelden. Dat maakt ze aantrekkelijk als:
Toegangspoort ("supply chain attack"): Een aanvaller die niet direct door de verdediging van een grote organisatie kan breken, hackt een kleine toeleverancier die wel toegang heeft tot de systemen van de grote partij. De SolarWinds-aanval uit 2020 was het prototype: via een software-update van een middelgroot technologiebedrijf kregen Russische hackers toegang tot honderden overheidsorganisaties wereldwijd.
Financieel doelwit: Ransomware-aanvallen zijn winstgevend, juist bij bedrijven die niet kunnen veroorloven weken lang offline te zijn (productie, transport, bouw). In 2025 betaalden Nederlandse bedrijven gezamenlijk naar schatting 340 miljoen euro aan losgeld, aldus de Cybersecurityraad.
Spionage: Bedrijven in hightech, farmacie, energie en defensie-gerelateerde industrie beschikken over intellectueel eigendom dat voor buitenlandse inlichtingendiensten waardevoller is dan direct geld.
De meest voorkomende zwakke plekken in mkb-netwerken
IT-beveiligingsspecialisten identificeren steeds weer dezelfde kwetsbaarheden bij Nederlandse mkb-bedrijven:
1. Verouderde software en systemen Windows-versies die niet langer beveiligingsupdates ontvangen, netwerkapparatuur met bekende kwetsbaarheden, servers die in jaren niet zijn bijgewerkt. Een patch die twee jaar geleden beschikbaar was, maar nooit is geïnstalleerd, is een open deur.
2. Zwakke wachtwoorden en geen multi-factor authenticatie (MFA) Wachtwoorden als "Bedrijfsnaam2024!" zijn trivial te raden of via phishing te stelen. MFA — een tweede verificatiemethode naast het wachtwoord — blokkeert meer dan 99% van geautomatiseerde aanvallen, blijkt uit Microsoft-data.
3. Geen segmentatie van het netwerk Wanneer alle apparaten — computers, kassasystemen, beveiligingscamera's, printers — op hetzelfde netwerk zitten, heeft een aanvaller die één apparaat binnendringt toegang tot alles.
4. Onvoldoende bewustwording bij medewerkers Phishing — misleidende e-mails die medewerkers ertoe brengen op een link te klikken of inloggegevens in te voeren — is nog altijd de meest gebruikte aanvalsmethode. 82% van alle succesvolle cyberaanvallen begint bij menselijke fout, aldus het Verizon Data Breach Investigations Report 2025.
5. Geen back-up of untested back-up Een back-up die niet getest is, werkt mogelijk niet als dat echt nodig is. Back-ups die verbonden zijn met het hoofdnetwerk zijn kwetsbaar voor ransomware die beide tegelijk versleutelt.
Wat de MIVD-aanbevelingen concreet betekenen voor uw bedrijf
Eichelsheim en het Nationaal Cyber Security Centrum (NCSC) geven bedrijven concrete handvatten. De minimale beveiligingsmaatregelen die elke organisatie zou moeten hebben:
- Automatische updates inschakelen voor alle software en besturingssystemen
- Multi-factor authenticatie op alle externe systemen (e-mail, cloud, VPN)
- Wachtwoordmanager voor sterke, unieke wachtwoorden per service
- Offline back-up op minimaal één locatie buiten het hoofdnetwerk
- Phishingtraining voor alle medewerkers, minimaal jaarlijks
- Incidentresponsplan: weet u wie te bellen bij een aanval? (NCSC, uw IT-leverancier, verzekeraar)
De kosten van basisbeveiliging zijn een fractie van de gemiddelde schade van een cyberaanval bij een mkb-bedrijf: het NCSC schat de gemiddelde directe schade op 85.000 euro, exclusief reputatieschade en juridische kosten bij datalekken (boetes GDPR kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet).
Wanneer een IT-beveiligingsspecialist inschakelen?
Veel mkb-ondernemers wachten tot na een incident. Te laat: herstel na een ransomware-aanval duurt gemiddeld 21 dagen, en de operationele schade in die periode is voor veel bedrijven existentieel.
De juiste momenten om een IT-beveiligingsspecialist in te schakelen:
- Bij groei of verandering: nieuwe medewerkers, thuiswerken, cloudmigratie, nieuwe leveranciers
- Na een incident bij een branchegenoot: als een vergelijkbaar bedrijf geraakt is, is uw risicoprofiel ook gewijzigd
- Voor een audit of certificering (ISO 27001, NEN 7510): een specialist helpt de lacunes te identificeren voor de formele beoordeling
- Jaarlijkse beveiligingsevaluatie: het dreigingslandschap verandert snel; wat vorig jaar veilig was, is het dit jaar mogelijk niet meer
Een IT-beveiligingsspecialist op Expert Zoom kan een nulmeting doen voor uw bedrijf, kwetsbaarheden in kaart brengen en prioriteiten stellen — ook als u zelf weinig technische kennis heeft.
Wacht niet tot de MIVD uw branche noemt in het volgende jaarverslag.
